除了防火墙,还要部署什么才能保证服务器安全?
日期:2022年10月18日 阅:90
“防火墙就像防盗门,虽然大部分情况下它都能拦住来历不明的陌生人,保障住户的安全,但如果有人强行绕过或者伪装通过,防盗门就失去了它的安全防护作用。”
防火墙作为网络安全的代表性产品,时至今日依然在防御网络威胁中发挥着重要作用,但大部分企业组织已经意识到单靠防火墙远远不够。
因此,很多人想了解的问题是:“除了防火墙以外,我还需要部署什么设备才能保障核心数字资产的安全呢?”
本文针对这个问题,从纵深防御的角度解释为什么单靠防火墙并不能保证内网的安全?以及除了防火墙以外,还要部署什么产品才能最大程度实现服务器安全?希望对各种规模的企业组织网络安全体系建设都能有所帮助。
扫码下载“主机安全能力建设等级自查Checklist”
什么是纵深防御?
对承载着企业核心资产的服务器来说,一个成熟的网络安全防御体系,从纵深的角度看,其防护工程从外到内可以分为四层:暴露面收敛、边界防护、访问控制、主机安全。当然,除了这些,还有针对社工、钓鱼等攻击的安全意识培训等安全措施。
这种类似于在城堡周围盖多层防御围城的网络安全防御被称为“纵深防御”,即在信息系统上实施多层的安全控制策略。纵深防御的目标是提供了多层的安全防御,也就是说一种安全措施失效或被攻破后,还有另一种安全防御来阻止进一步的威胁,纵深防御的目标就是降低攻击者攻击成功的机率。
例如上文中的四层防御就是层层递进的关系,每一层都能对突破上一层的攻击做出进一步防御,直到攻击者拿下靶标或攻击被中断。一般来说,服务器承载着企业组织的核心资产,大部分网络攻击的最终目标都是服务器或服务器上存放的数字资产。因此,对服务器的纵深防御体系建设就显得尤为重要。
边界防护的不足催生了纵深防御体系
以防火墙为代表的边界防护,多年来在网络边界防御上拥有不可或缺的地位。基于“把内外网隔离开”的安全理念,防火墙相当于在网络边界建起了“城门”,把住了进入网络的必经通道,以此来限制某些网段之间不互通,或有条件地互通,这种方式拦截了大部分的网络威胁,降低了系统被攻击的概率。不过,它也存在一些不足之处:
随着网络攻击技术的发展,绕过防火墙对专业的网络攻击者来说轻而易举。这意味着传统的防火墙的防御效果已经大打折扣,企业组织必须寻找新的防护措施来应对攻击者“突破防火墙”之后的阶段,这就催生了由多层防御措施组成的纵深防御体系。
但就现状而言,大部分企业在对服务器的纵深防御上做得并不全面,很多企业只停留在边界防护(即防火墙)上,没有更深入的防御措施,这也意味着攻击者一旦突破这层边界,就可以为所欲为。
边界防护的下一道防线——主机安全
除了上述防火墙本身固有的缺陷以外,外部环境的变化也使得防火墙的防护效果逐渐弱化。一方面,云计算与虚拟化、远程办公,以及业务外包合作等新的技术和商业运营模式等技术的大规模运用,极大地改变了IT的基础设施和业务架构,传统IT架构中的网络边界正在消失,相应地,以防火墙为代表的边界型防御也逐渐失去意义。
另一方面,攻击方式不断进化和增多,传统的防护手段很难起到良好的防护效果。很多边界防御,比如防火墙,很多时候几乎形同虚设。此外,服务器周围的防护产品虽然种类繁多,但各产品之间彼此孤立,没有实现信息互通,对高隐蔽性、高复杂度的攻击防御效果非常有限。
种种迹象都表明:这种简单粗暴的将内网“圈起来”的安全手段已经不足以应对不断出现的新型攻击方式。
这个时候,我们不妨换个安全防护思路:既然防火墙防御的最终目的是为了保证主机(常指服务器)的安全,那么与其在主机周围圈起围墙,不如让主机自身变得更安全。
所以我们应该把重点放在纵深防御体系的第四层——主机安全上,这样的话,即使攻击者攻破了边界,主机可以自己保护自己,不至于处于“裸奔”的状态。
这里需要强调的是,“主机安全”并不是一个产品,而是对应一个需要被保护的位置,“主机安全”即主机侧的安全保护。
主机安全的核心内容包括安全应用交付系统、应用监管系统、操作系统安全增强系统和运维安全管控系统。它的具体功能是指保证主机在数据存储和处理的保密性、完整性,可用性,它包括硬件、固件、系统软件的自身安全,以及一系列附加的安全技术和安全管理措施,从而建立一个完整的主机安全保护环境。
目前市场上有很多安全产品宣称可以解决主机侧的安全问题,但大部分都是由其他产品改装而来的,很难满足主机侧“安全与稳定兼顾”的需求,比如针对PC等终端的EDR(这点可以参考笔者之前的文章:明明已部署EDR,服务器为什么还是被入侵了?)等。
最有效的主机安全防护产品应该是针对主机专门研发的,充分考虑了主机侧稳定需求>安全需求的特性,既能对主机侧的威胁做到及时、有效的检测,又能保证业务的连续性,结合相应的人工介入来对威胁进行响应,以实现对业务影响的最小化。
因此,在选择主机安全产品的时候,要考虑如下几个因素:
青藤万相作为国内首个主机安全领域的原生产品,采用自适应安全架构,充分运用云、大数据、AI等技术,只需一个轻量级Agent即可打造集“预测、防御、监控和响应”一体的安全闭环,其核心功能包括资产清点、风险发现、入侵检测、合规基线、病毒查杀等多个模块,各功能模块之间无缝联动,帮助企业有效预测风险,精准感知威胁,提升响应效率。兼顾安全、稳定、低消耗,对业务0影响。
凭借领先的技术和理念优势,青藤万相连续6年入选Gartner CWPP市场指南,位列Frost&Sullivan云主机安全市场领袖梯队,并在赛迪云主机安全报告中市场占有率第一,为金融、政府、运营商、互联网、国央企等20+行业的1000+头部客户提供了主机防护。
文章来源:青藤